Project

General

Profile

Tâche #11977

Scénario #11155: Renforcer la configuration SSH en accord avec les préconisations de l’ANSSI

Renforcer la configuration SSH en accord avec les préconisations de l’ANSSI

Added by Scrum Master almost 6 years ago. Updated almost 6 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
06/01/2015
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

sshd_config.txt View (3.08 KB) Daniel Dehennin, 06/15/2015 03:34 PM


Related issues

Related to Amon - Demande #16651: Tunnel SSH via Amon 2.5 Classée sans suite 06/28/2016
Related to eole-common - Demande #15846: Ajouter dans variables dans sshd_config Classée sans suite 04/13/2016
Related to Distribution EOLE - Demande #16177: il n'est plus possible de faire un tunnel ssh Classée sans suite 05/25/2016
Related to Distribution EOLE - Tâche #18105: Améliorer la définition de la variable "ssh_maxstartups" dans le dictionnaire Fermé 11/28/2016

Associated revisions

Revision 7e9ee905 (diff)
Added by Emmanuel GARETTE almost 6 years ago

mise à jour du template SSH (ref #11977 @2h)

Revision 7d826e02 (diff)
Added by Daniel Dehennin almost 6 years ago

Supporter les connexions SSH en provenance de 2.3

Les serveurs 2.3 doivent pouvoir se connecter à Zéphir.

  • tmpl/sshd_config: Suppression du paramètre « KexAlgorithms »

Ref: #11977

History

#1 Updated by Scrum Master almost 6 years ago

  • Estimated time set to 4.00 h
  • Remaining (hours) set to 4.0

#2 Updated by Daniel Dehennin almost 6 years ago

Un fichier de configuration basé sur les recomendations de l’ANSSI, à intégrer au template EOLE.

#3 Updated by Scrum Master almost 6 years ago

  • Status changed from Nouveau to En cours

#4 Updated by Emmanuel GARETTE almost 6 years ago

En vrac :

variables identiques :

Port 22
Protocol 2
PubkeyAuthentication yes
UsePrivilegeSeparation yes
StrictModes yes
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_rsa_key
LogLevel INFO
SyslogFacility AUTH
Subsystem sftp /usr/lib/sftp-server
PrintMotd no
HostbasedAuthentication no
IgnoreRhosts yes
AuthorizedKeysFile %h/.ssh/authorized_keys

variables existantes avec valeurs différentes :

ANSSI | EOLE
HostKey /etc/ssh/ssh_host_ed25519_key => /etc/ssh/ssh_host_dsa_key
TCPKeepAlive no => yes
AcceptEnv LANG LC_* => LANG LANGUAGE LC_* EDITOR
X11forwarding no => yes
LoginGraceTime 30 => 600
PermitRootLogin no => (forcé à yes dans le cas de la haute dispo)

variables uniquement ANSSI

GSSAPIAuthentication yes
GSSAPIKeyExchange yes
GSSAPICleanupCredentials yes
PasswordAuthentication no
Ciphers ,aes256-ctr,aes192-ctr,aes128-ctr
MACs ,,,,hmac-sha2-512,hmac-sha2-256,hmac-sha1-96,hmac-sha1
KexAlgorithms
IgnoreUserKnownHosts yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PermitUserEnvironment no
AllowTcpForwarding no
Banner none
PrintLastLog yes
Compression delayed
ClientAliveInterval 30
ClientAliveCountMax 10
MaxStartups 5:30:10

variables uniquement EOLE

KeyRegenerationInterval 3600
ServerKeyBits 2048
UseDNS no
UsePAM yes
X11DisplayOffset 10
RSAAuthentication yes
RhostsRSAAuthentication no
AllowGroups xxxxxxxxxxxx

#5 Updated by Emmanuel GARETTE almost 6 years ago

  • Assigned To set to Emmanuel GARETTE

#6 Updated by Daniel Dehennin almost 6 years ago

  • Status changed from En cours to Fermé
  • % Done changed from 0 to 100
  • Remaining (hours) changed from 4.0 to 0.0

Toutes les recommandations ne sont pas faites car certaines requierent des développements (ref: #12123).

#7 Updated by Joël Cuissinat over 4 years ago

  • Related to Tâche #18105: Améliorer la définition de la variable "ssh_maxstartups" dans le dictionnaire added

Also available in: Atom PDF